Gedragscode voor mobiele gezondheidsapps

De privacygedragscode voor mobiele gezondheidsapps heeft tot doel het vertrouwen onder gebruikers te bevorderen en een concurrentievoordeel te bieden aan degenen die zich aanmelden.

De eerste versies van de gedragscode voor mobiele gezondheidsapps zijn opgesteld tegen de achtergrond van de raadpleging van de Europese Commissie over het groenboek over mobiele gezondheid (2014). Uit de raadpleging bleek dat mensen mobiele gezondheidsapps vaak niet vertrouwen vanwege privacyproblemen.

Na deze raadpleging moedigde de Europese Commissie belanghebbenden uit de sector aan om een privacygedragscode voor mobiele gezondheidsapps op te stellen om het vertrouwen te vergroten.

Het doel was dat de gedragscode formeel zou worden goedgekeurd door de Europese gegevensbeschermingsautoriteiten. Op grond van de huidige algemene verordening gegevensbescherming (AVG) valt de rol van het beoordelen van codes onder het mandaat van het Europees Comité voor gegevensbescherming. Door het Europees Comité voor gegevensbescherming goedgekeurde codes kunnen in de hele EU algemeen geldig worden verklaard door middel van een uitvoeringshandeling.

Geschiedenis en huidige status

Het werk aan een mobiele gezondheidsgedragscode begon in april 2015, toen een redactieteam van leden uit de industrie begon met het ontwikkelen van de tekst van de code. De Europese Commissie heeft als facilitator juridische en beleidsdeskundigheid en -middelen verstrekt en toezicht gehouden op de ontwikkeling van deze werkzaamheden.

Dit redactieteam bestond uit de App Association (ACT), App developers Alliance, Apple, COCIR, Digital Europe, ECHA, DHACA, EFPIA, Google, Intel, Microsoft, Qualcomm en Samsung. Ze werkten regelmatig samen en presenteerden het werk op verschillende evenementen om verdere feedback te krijgen. De visie was dat de code gemakkelijk te begrijpen zou moeten zijn voor kmo's en individuele ontwikkelaars die mogelijk geen toegang hebben tot juridische expertise.

Het redactieteam heeft in juni 2016 een vroege versie van de werkzaamheden voorgelegd aan de Groep gegevensbescherming artikel 29 voor een eerste feedbackronde. Naar aanleiding van verschillende suggesties voor verbetering van de Groep is de code herwerkt (.pdf) en op 7 december 2017 formeel ingediend met het verzoek om goedkeuring in het kader van de richtlijn gegevensbescherming.

De Groep heeft haar beoordeling in april 2018 gepubliceerd. Zij stelde vast dat de criteria van de AVG moeten worden toegepast en dat de bestaande code nog niet adequaat aan deze vereisten voldeed. Als gevolg hiervan werd de code niet goedgekeurd.

Volgende stappen

De Commissie werkt samen met een reeks belanghebbenden uit de sector om de verdere ontwikkeling van de huidige ontwerpcode aan te moedigen, zodat deze in de toekomst aan het Europees Comité voor gegevensbescherming kan worden voorgelegd met het oog op formele goedkeuring.

Belangrijkste bepalingen voor app-ontwikkelaars

Het huidige ontwerp van de code bestaat uit praktische richtsnoeren voor app-ontwikkelaars over gegevensbeschermingsbeginselen bij de ontwikkeling van mobiele gezondheidsapps. De code heeft met name betrekking op de volgende onderwerpen:

Toestemming van de gebruiker

De toestemming van de gebruiker voor de verwerking van persoonsgegevens moet vrij, specifiek en geïnformeerd zijn. Voor de verwerking van gezondheidsgegevens moet uitdrukkelijke toestemming worden verkregen. Elke intrekking van de toestemming moet leiden tot de verwijdering van de persoonlijke gegevens van de gebruiker.

Doelbinding en gegevensminimalisering

De gegevens mogen alleen worden verwerkt voor specifieke en legitieme doeleinden. Alleen gegevens die strikt noodzakelijk zijn voor de functionaliteit van de app mogen worden verwerkt.

Privacy door ontwerp en door standaardinstellingen

De privacy-implicaties van de app moeten worden overwogen bij elke stap van de ontwikkeling en waar de gebruiker een keuze krijgt. De app-ontwikkelaar moet standaard de minst privacy-invasieve keuze vooraf selecteren.

Rechten van betrokkenen en informatievereisten

De gebruiker heeft het recht om toegang te krijgen tot zijn persoonsgegevens, om correcties aan te vragen en om bezwaar te maken tegen verdere verwerking. De app-ontwikkelaar moet de gebruiker bepaalde informatie over de verwerking verstrekken.

Bewaring van gegevens

Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is.

Veiligheidsmaatregelen

Er moeten technische en organisatorische maatregelen worden genomen om de vertrouwelijkheid, integriteit en beschikbaarheid van de verwerkte persoonsgegevens te waarborgen en om te beschermen tegen onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, openbaarmaking, toegang of andere onwettige vormen van verwerking.

Adverteren in mobiele gezondheidsapps

Er is een onderscheid tussen reclame op basis van de verwerking van persoonsgegevens (waarvoor opt-in-toestemming vereist is) en reclame die niet op persoonsgegevens is gebaseerd (opt-out-toestemming).

Gebruik van persoonsgegevens voor secundaire doeleinden

Elke verwerking voor secundaire doeleinden moet verenigbaar zijn met het oorspronkelijke doel. Verdere verwerking voor wetenschappelijk en historisch onderzoek of statistische doeleinden wordt beschouwd als verenigbaar met het oorspronkelijke doel. Secundaire verwerking voor niet-compatibele doeleinden vereist een nieuwe toestemming.

Verstrekking van gegevens aan derden voor verwerkingsdoeleinden

De gebruiker moet voorafgaand aan de openbaarmaking worden geïnformeerd en de app-ontwikkelaar moet een bindende juridische overeenkomst aangaan met de derde partij.

Doorgifte van gegevens

Voor gegevensoverdrachten naar een locatie buiten de EU/EER moeten er wettelijke garanties zijn die een dergelijke overdracht mogelijk maken, bijvoorbeeld een adequaatheidsbesluit van de Europese Commissie, modelcontracten van de Europese Commissie of bindende bedrijfsvoorschriften.

Inbreuk in verband met persoonsgegevens

De code bevat een checklist die moet worden gevolgd in geval van een inbreuk in verband met persoonsgegevens, met name de verplichting om een gegevensbeschermingsautoriteit op de hoogte te stellen.

Gegevens verzameld van kinderen

Afhankelijk van de in de nationale wetgeving vastgestelde leeftijdsgrens moet de meest restrictieve aanpak voor gegevensverwerking worden gevolgd en moet een procedure voor het verkrijgen van ouderlijke toestemming worden ingevoerd.

Laatste nieuws

A doctor holding a tablet, with icons hovering above it, representing cybersecurity in the heathcare sector.

Raadpleging
07 April 2025 - 30 Juni 2025

Commissie wil bijdragen aan betere cyberbeveiliging voor ziekenhuizen en zorgaanbieders

De Commissie is een raadpleging gestart over het actieplan voor de cyberbeveiliging van ziekenhuizen en zorgaanbieders.

Persbericht
07 April 2025

Commissie wil bijdragen aan betere cyberbeveiliging voor ziekenhuizen en zorgaanbieders

De Commissie is een raadpleging gestart over het actieplan voor de cyberbeveiliging van ziekenhuizen en zorgaanbieders.

The IT system is accessed by a Doctor's fingerprint on the virtual screen.

Persbericht
15 Januari 2025

Commissie onthult actieplan om de gezondheidssector te beschermen tegen cyberaanvallen

De Commissie heeft een EU-actieplan gepresenteerd om de cyberbeveiliging van ziekenhuizen en zorgaanbieders te versterken. Dit actieplan werd in de politieke richtsnoeren van voorzitter Von der Leyen aangekondigd als een belangrijke prioriteit binnen de eerste 100 dagen van het nieuwe mandaat.

Nieuwsartikel
21 November 2022

Aanbesteding: geïntegreerde zorg voor mensen met multimorbiditeit

Het doel van deze oproep is het testen en ontwikkelen van nieuwe oplossingen op gang te brengen om te anticiperen op en tegemoet te komen aan de behoeften van mensen met multimorbiditeit, door te zorgen voor tijdige toegang tot diensten, gezamenlijk beheerde zorgreizen en overgangen tussen specialismen en sectoren. Uiterste datum voor de indiening van offertes 10 januari 2023

Bladeren m-Gezondheidszorg

Gerelateerde inhoud

Grote afbeelding

e-gezondheidszorg

De Europese Commissie zet zich in om burgers toegang te bieden tot veilige en hoogwaardige digitale diensten op het gebied van gezondheid en zorg.